- •Тема 1. ЦЕЛИ И ЗАДАЧИ СЕТЕВОГО АДМИНИСТРИРОВАНИЯ
- •Контрольные вопросы
- •Тема 2. ВВЕДЕНИЕ В WINDOWS SERVER
- •2.1. Семейства Microsoft Windows 2000 Server и Windows Server 2003-2008
- •2.2. Характеристики Windows 2000 и Windows Server 2003-2008
- •2.3. Контроллеры домена и рядовые серверы
- •2.3.1. Роли серверов
- •2.4. Архитектура операционной системы
- •2.4.1.1. Внешние подсистемы (подсистемы среды)
- •2.4.1.2. Интегральные (внутренние) подсистемы
- •2.4.2.1. Исполнительная система Windows Server
- •2.4.2.2. Драйверы устройств
- •2.4.2.3. Микроядро
- •2.4.2.4. Аппаратно-зависимый уровень
- •Контрольные вопросы
- •Тема 3. СЛУЖБА КАТАЛОГОВ WINDOWS SERVER
- •3.1. Знакомство со службой каталогов
- •3.2. Рабочие группы и домены
- •3.3. Служба каталогов Active Directory
- •3.3.2.1. Логическая структура
- •3.3.2.2. Физическая структура
- •Контрольные вопросы
- •4.2. Установка и начальная настройка системы
- •4.2.2. Выбор носителя дистрибутива системы
- •4.2.3. Процесс установки системы Windows Server 2003
- •Контрольные вопросы
- •Тема 5. ФАЙЛОВЫЕ СИСТЕМЫ MS WINDOWS SERVER
- •5.1. Обслуживание жестких дисков
- •5.1.1.1. Типы дисков, разделов и томов
- •5.1.1.2. Файловые системы
- •5.1.2. Основные задачи обслуживания дисков
- •5.1.2.1. Работа с простыми томами
- •5.1.2.2. Работа с составными томами
- •5.1.2.3. Работа с чередующимися томами
- •5.1.2.4. Добавление нового диска
- •5.1.2.5. Изменение типа диска
- •5.2. Файловая система FAT
- •5.2.1. Файловая система FAT16
- •5.2.2. Файловая система FAT32
- •5.2.2.1. Структура разделов FAT32
- •5.3. Файловая система NTFS
- •5.3.1. Введение в NTFS
- •5.3.2. Структура NTFS
- •5.3.2.1. Структура тома NTFS
- •5.4. Безопасность файловых систем
- •5.5. Дополнительные файловые системы
- •5.5.1. Распределенная файловая система
- •5.5.1.1. Общие сведения о DFS
- •5.5.1.2. Преимущества DFS
- •5.5.1.3. Ограничения, накладываемые DFS
- •5.5.1.4. Типы корней DFS
- •5.5.1.5. Конфигурирование томов DFS
- •5.5.2. Служба репликации файлов
- •5.5.2.1. Репликация посредством FRS
- •5.5.2.2. Уникальные порядковые номера
- •Контрольные вопросы
- •Тема 6. СЛУЖБА КАТАЛОГОВ ACTIVE DIRECTORY
- •6.1. Обзор Active Directory
- •6.1.1. Введение в Active Directory
- •6.1.1.1. Концепция Active Directory
- •DC=ru/DC=bupk/CN=Users/CN=Ivan Petrov
- •Значение
- •Представляет
- •6.1.2.1. Модель данных
- •6.1.2.2. Схема
- •6.1.2.3. Модель безопасности
- •6.1.2.4. Модель администрирования
- •6.1.2.5. Доступ к Active Directory
- •6.1.2.6. Архитектура службы каталогов
- •6.2. Планирование внедрения Active Directory
- •6.2.1. Планирование пространства имен
- •6.2.1.1. Внутреннее и внешнее пространства имен
- •Преимущества
- •Недостатки
- •Сценарий 2. Внутреннее и внешнее пространства имен различаются
- •Преимущества
- •Недостатки
- •6.2.1.2. Выбор архитектуры пространства имен
- •6.2.2.1. Создание структуры ОП
- •6.2.2.2. Рекомендации по разработке структуры ОП
- •6.2.2.3. Структура иерархии ОП
- •6.2.3. Планирование сайта
- •6.2.3.1. Оптимизация регистрационного трафика
- •6.2.3.2. Оптимизация репликации каталога
- •6.3. Внедрение Active Directory
- •6.4.1. Создание первого контроллера нового домена
- •6.4.2.1. База данных Active Directory
- •6.4.2.2. Общий системный том
- •6.4.3.1. Смешанный режим
- •6.4.3.2. Основной режим
- •6.5. Администрирование Active Directory
- •6.5.1. Создание подразделений и объектов в них
- •6.5.1.1. Создание организационных подразделений (ОП)
- •6.5.1.2. Добавление объектов в ОП
- •6.5.2. Управление объектами Active Directory
- •6.5.2.1. Поиск объектов
- •6.5.2.3. Перемещение объектов
- •6.5.3. Управление доступом к объектам Active Directory
- •6.5.3.1. Управление разрешениями Active Directory
- •6.5.3.2. Наследование разрешений
- •6.5.3.3. Делегирование полномочий по управлению объектами
- •Контрольные вопросы
- •Тема 7. АДМИНИСТРИРОВАНИЕ MS WINDOWS SERVER
- •7.1. Использование Microsoft Management Console (MMC)
- •7.1.1.1. Консоли ММС
- •7.1.2.1. Изолированная оснастка
- •7.1.2.2. Расширение оснастки
- •7.1.3.1. Авторский режим
- •7.1.3.2. Пользовательский режим
- •7.2. Администрирование учетных записей пользователей
- •7.2.2. Планирование новых учетных записей пользователей
- •7.2.2.1. Правила именования
- •7.2.2.2. Требования к паролю
- •7.2.2.3. Параметры учетных записей
- •7.2.4.1. Диалоговое окно свойств
- •7.2.5.1. Профиль пользователя
- •7.2.5.2. Изменение учетных записей пользователей
- •7.2.5.3. Создание домашней папки
- •7.3. Администрирование учетных записей групп
- •7.3.2.1. Типы групп
- •7.3.2.2. Область действия группы
- •7.3.2.3. Участники групп
- •7.3.2.4. Вложенность групп
- •7.3.2.5. Стратегии групп
- •7.3.3. Внедрение групп
- •7.3.3.1. Администрирование групп
- •7.3.4. Внедрение локальных групп
- •7.3.4.1. Создание локальных групп
- •Описание
- •7.3.5. Встроенные группы
- •7.3.5.1. Встроенные глобальные группы
- •7.3.5.2. Встроенная локальная группа домена
- •7.3.5.3. Встроенные локальные группы
- •7.3.5.4. Встроенные системные группы
- •7.4. Администрирование групповой политики
- •7.4.1. Введение в групповые политики
- •7.4.2. Преимущества групповой политики
- •7.4.2.1. Типы групповых политик
- •7.4.2.2. Структура групповой политики
- •7.4.2.3. Применение групповой политики
- •Контрольные вопросы
- •Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
- •8.1. Инфраструктура открытого ключа
- •8.1.2.1. Шифрование с применением открытых ключей
- •8.1.2.2. Секретные ключи
- •8.1.3.1. Иерархия ЦС
- •8.1.4.1. Архитектура служб сертификации
- •8.1.4.2. Обработка запроса сертификата
- •8.1.4.3. Сертификаты ЦС
- •8.1.4.4. Установка служб сертификации
- •8.1.4.5. Администрирование служб сертификации
- •8.2. Технологии открытого ключа
- •8.2.1. Защищенные каналы
- •8.2.2. Смарт-карты
- •8.2.2.1. Вход в систему с помощью смарт-карты
- •8.2.3. Технология Authenticode
- •8.2.4. Шифрованная файловая система
- •8.2.4.1. Защита данных
- •8.2.4.2. Восстановление данных
- •8.2.4.4. Отказоустойчивость
- •8.2.4.5. Шифрование в EFS
- •8.2.4.6. Расшифровка в EFS
- •8.2.4.7. Восстановление EFS
- •8.2.4.8. Утилита командной строки cipher (шифр)
- •8.2.5.1. Политики IPSec
- •8.2.5.2. Компоненты IPSec
- •8.2.5.3. Пример связи по IPSec
- •8.3. Протокол Kerberos в Windows Server
- •8.3.1. Обзор протокола Kerberos
- •8.3.1.1. Термины протокола Kerberos
- •8.3.1.2. Возможности протокола Kerberos
- •8.3.1.3. Процесс аутентификации с помощью Kerberos
- •8.3.1.4. Делегирование в Kerberos
- •8.3.2.1. Локальный интерактивный вход в систему
- •8.3.2.2. Интерактивный вход в домен
- •8.3.2.3. Поддержка открытого ключа в Kerberos
- •8.4. Средства конфигурации системы безопасности
- •8.4.1.1. Настройка системы безопасности
- •8.4.1.2. Анализ безопасности
- •8.4.3. Оснастка Group Policy (Групповая политика)
- •8.5. Аудит в Microsoft Windows
- •8.5.1. Обзор аудита в Windows
- •8.5.1.1. Использование политики аудита
- •8.5.3.1. Настройка аудита
- •8.5.3.2. Настройка политики аудита
- •8.5.3.3. Аудит доступа к файлам и папкам
- •8.5.3.4. Аудит доступа к объектам Active Directory
- •8.5.3.5. Аудит доступа к принтерам
- •8.5.4.1. Журналы в Windows
- •8.5.4.2. Управление журналами аудита
- •8.5.4.3. Архивация журналов
- •Контрольные вопросы
- •Тема 9. СЕТЕВЫЕ СЛУЖБЫ И ПРОТОКОЛЫ
- •9.1. Основы функционирования протокола TCP/IP
- •9.1.3.1. Разбиение сетей на подсети с помощью маски подсети
- •9.2. Сетевые протоколы
- •9.2.1. Протокол ATM
- •9.2.1.1. LAN Emulation
- •9.2.1.2. IP поверх ATM
- •9.2.1.3. ATM поверх xDSL
- •9.3. Сетевые службы
- •9.3.1. Служба DNS
- •9.3.1.1. Служба DNS: пространство имен, домены
- •9.3.1.2. Служба DNS: домены и зоны
- •9.3.1.3. Зоны прямого и обратного просмотра
- •9.3.1.4. Алгоритмы работы итеративных и рекурсивных запросов DNS
- •9.3.2.1. Введение в DHCP
- •9.3.2.2. Аренда DHCP
- •9.3.3. Служба WINS
- •9.3.3.1. Процесс преобразования имен службой WINS
- •9.3.3.2. Регистрация имени
- •Контрольные вопросы
- •Тема 10. СЛУЖБА РЕЗЕРВНОГО КОПИРОВАНИЯ
- •10.1. Базовые понятия службы резервного копирования
- •10.1.1. Типы резервного копирования
- •10.2. Разработка и реализация стратегии резервного копирования
- •10.2.1. Понятие плана архивации
- •10.2.2. Выбор архивных устройств и носителей
- •10.2.3. Типовые решения архивации
- •10.2.4. Пример создания задания на выполнения архивации данных
- •10.2.5. Пример восстановления данных из резервной копии
- •10.2.6. Теневые копии
- •10.2.7. Использование теневых копий
- •10.3. Архивирование и восстановление состояния системы
- •10.3.1. Архивирование и восстановление состояния системы
- •10.3.2. Автоматическое аварийное восстановление системы
- •10.3.2.2. Восстановление системы с помощью ASR-копии
- •Контрольные вопросы
200
Тема 8. СИСТЕМА БЕЗОПАСНОСТИ WINDOWS
В Microsoft Windows реализована полная инфраструктура открытого шифровального ключа (public key infrastructure, PKI). PKI расширяет возможности криптографических служб открытого ключа (public key, PK) для Windows, поставлявшихся в последние годы, предоставляя интегрированный набор служб и средств администрирования для создания, распространения и управления PK-приложениями.
8.1. Инфраструктура открытого ключа
Шифрование открытым ключом — технология, чрезвычайно важная для защиты электронной коммерции, внутренних и внешних сетей, а также Web-приложений. Чтобы задействовать преимущества шифрования открытым ключом, требуется соответствующая инфраструктура. Windows Server включает в себя собственную инфраструктуру открытого ключа (PKI), спроектированную с учетом всех преимуществ архитектуры защиты этой ОС.
8.1.1.Составляющие безопасности
Компьютерная безопасность включает все: от аппаратнотехнической части до ПО. В программной области система безопасности должна выполнять 4 функции: аутентификацию (authentication), проверку целостности (integrity), конфиденциаль-
ность (confidentiality) и предотвращение повторов (anti-replay).
Аутентификация
Это процесс надежного определения подлинности подключающегося компьютера или пользователя. Аутентификация (проверка подлинности) базируется на криптографии и гарантирует, что подключившиеся к сети злоумышленники не получат информацию, посредством которой они смогут выдать себя за зарегистрированного пользователя. Она позволяет подключающимся лицам доказывать свою подлинность другим лицам, прежде чем незащищенные данные будут переданы по сети. Без достоверной аутентификации любые данные и компьютер, с которого они получены, считаются подозрительными.
201
Целостность
Подразумевает сохранение информации в том виде, в котором она была передана. Службы обеспечения целостности защищают данные от неавторизованной модификации при передаче. Без обеспечения целостности любая информация и компьютер, с которого она получена, считаются подозрительными.
Конфиденциальность
Гарантирует, что передаваемые данные будут доступны только уполномоченным адресатам.
Предотвращение повторов
Подразумевает, что дейтаграммы передаются однократно. Каждая посланная дейтаграмма уникальна. Эта уникальность предотвращает атаки, в которых сообщения перехватываются и затем повторно используются для несанкционированного доступа к информации.
8.1.2.Криптография
Это набор математических методов для шифрования и расшифровки данных. Шифрование позволяет надежно передавать конфиденциальные данные — они не будут доступны неуполномоченным лицам. В криптографии применяются ключи в сочетании с алгоритмами для защиты данных. Ключ (key) — это некое число, используемое в ходе шифрования и расшифровки информации. Даже если алгоритм известен, безопасность не ставится под угрозу, потому что прочитать данные без ключа невозможно. Иными словами, безопасность обеспечивается не алгоритмом, а ключом. Алгоритм создает инфраструктуру, в которой применяется ключ.
Системы безопасности основаны на шифровании открытым или закрытым ключами.
Существует много алгоритмов шифрования, каждый из которых выполняет различные операции по защите.
8.1.2.1. Шифрование с применением открытых ключей
Шифрование с применением открытых ключей представляет собой асимметричную схему шифрования с парой ключей. Схема называется асимметричной, так как использует два мате-
202
матически связанных парных шифровальных ключа — открытый и закрытый. Для шифрования открытым ключом объект (например, пользователь) должен сгенерировать оба парных ключа. Каждый объект будет иметь только один (собственный) закрытый ключ, но сможет получать множество открытых ключей, парных к другим закрытым ключам.
Объекты получают открытые ключи одним из двух способов:
•владелец закрытого ключа посылает адресату соответствующий открытый ключ;
•адресат получает такой ключ из службы каталогов,
например из Active Directory или DNS.
Открытый и закрытый ключи обычно применяются для шифрования данных и цифровой подписи сообщения.
Шифрование данных
Шифрование данных обеспечивает конфиденциальность,
гарантируя, что только указанный получатель сможет расшифровать и просмотреть исходные данные. Для передачи секретной информации отправитель сначала получает открытый ключ получателя. Затем на основе этого открытого ключа получатель шифрует и передает данные. Полученную информацию адресат расшифровывает, используя свой закрытый ключ. Шифрование надежно, только если отправитель применяет для кодирования открытый ключ получателя. Если для шифрования отправитель использует собственный закрытый ключ, то кто угодно сможет перехватить данные и расшифровать по открытому ключу отправителя.
Цифровая подпись
Цифровая подпись обеспечивает аутентификацию и проверку целостности, но не конфиденциальности данных. Позволяет получателю удостовериться в подлинности отправителя и проверяет, что содержимое не изменялось при передаче. Препятствует попыткам послать сообщение от имени другого лица.
При отправлении сообщения создается его выборка — представление сообщения вроде контрольной суммы ( cyclic redundancy check, CRC). Для зашифровки выборки сообщения отправитель применяет свой закрытый ключ. Принимая сообще-
203
ние, адресат получает открытый ключ отправителя для расшифровки выборки сообщения. Затем он создает выборку из полученного сообщения и сравнивает ее с расшифрованной выборкой. Если они совпадают, целостность гарантирована (рис. 8.1).
Рис. 8.1. Использование подписи сообщения, его выборки и PKI для проверки подлинности отправителя
8.1.2.2. Секретные ключи
Аутентификация обеспечивается тем, что ключи составляют пару. Так как выборка сообщения была зашифрована закрытым ключом отправителя (и только его открытый ключ позволяет ее расшифровать), получатель может быть уверен, что сообщение пришло именно от владельца этой пары ключей. Впрочем, получатель должен иметь возможность удостовериться, что эти ключи принадлежат истинному отправителю, а не тому, кто выдает себя за него. Это обеспечивает выпускаемый доверяемой третьей стороной сертификат, подтверждающий подлинность обладателя открытого ключа. Такой доверяемой
204
третьей стороной является центр сертификации (Certificate Authority, CA).
Секретный ключ (или общий секретный ключ) применяется во многом подобно открытому ключу, однако в этом случае существует только один ключ — он и обеспечивает защиту. Секретный ключ обычно используется в особых сеансах связи или на короткое время, после чего аннулируется. Этот процесс имеет преимущества над открытыми ключами.
Например, если посторонний узнает такой ключ, он в принципе сможет подключиться к сеансу связи. И все же злоумышленник не сможет выдать себя за определенного пользователя или конкретный компьютер вне этого сеанса связи и не сможет, применив этот секретный ключ, получить доступ к остальным ресурсам.
Для безопасной доставки общего секретного ключа обеим сторонам нужен соответствующий механизм. Если ключ просто переслать по сети, любой злоумышленник без труда его перехватит.
Обмен секретным ключом
Доставка секретного ключа обеим сторонам обычно выполняется с применением открытых ключей. Они позволяют зашифровать секретный ключ перед его пересылкой по сети. Открытые ключи обеспечивают конфиденциальность, аутентификацию и целостность данных; следовательно, безопасность при пересылке секретного ключа не нарушается.
Например, если Алексей хочет послать данные Максиму, используя секретный ключ, то оба сначала генерируют по пол овине этого ключа. Алексей получает открытый ключ Максима, шифрует свою половину секретного ключа и отсылает ее Максиму. Точно так же Максим получает открытый ключ Алексея, шиф рует свою половину секретного ключа и отсылает ее Алексею. Затем оба соединяют половины секретного ключа и получают общий ключ для шифрования пересылаемых данных (рис. 8.2). Это обеспечивает аутентификацию, целостность данных и конфиденциальность.
205
Рис. 8.2. Обмен секретным ключом, при котором Алексей и Максим генерируют каждый по половине секретного ключа для создания общего секретного ключа
Шифрование данных
Для обеспечения конфиденциальности данные должны быть зашифрованы общим секретным ключом. Поскольку теперь используется только один ключ, известный и отправителю, и получателю, процесс шифрования упрощается. Отправитель шифрует данные общим секретным ключом, а получатель им же их и расшифровывает. Так как никто более в сети не знает этого секретного ключа, данные защищены от взлома. Обычно отправитель и получатель аннулируют секретный ключ сразу после сеанса связи.
8.1.3.Сертификаты
Шифрование открытым ключом подразумевает, что подлинность владельца обоих ключей установлена достоверно. Цифровой сертификат (или просто сертификат) — это набор данных, полностью идентифицирующих сущность. Некий доверенный центр сертификации (CA) выпускает сертификаты после проверки подлинности удостоверяемого лица. Центр сертификации (ЦС) является для двух сообщающихся сторон доверяемой третьей стороной.
206
Например, если Алексей хочет послать заверенные данные Максиму, он посылает ему свой открытый ключ. Доверенный ЦС удостоверяет открытый ключ Алексея, подтверждая тем самым подлинность его личности. Поскольку Максим доверяет ЦС, он доверяет и Алексею.
Доверенный ЦС может быть сторонним поставщиком сер-
тификатов, таким как VeriSign или Microsoft Certificate Services.
Например, пользователь может получить цифровой сертификат для отправки сообщений по электронной почте. Такой сертификат включает в себя открытый ключ и сведения об авторе сообщения. В посылаемое сообщение включается цифровая подпись, в которой используется открытый ключ. Получатель принимает открытый ключ и удостоверяется в подлинности отправителя. Адресату личный ключ никогда не посылается.
Стандарт Х.509
Стандарт Х.509 определяет синтаксис и формат сертификата. В Windows процессы, связанные с сертификатами, опираются на стандарт Х.509. Так как сертификаты применяются в разных целях (например, для шифрования электронной почты или файловой системы), каждый сертификат заключает в себе разную информацию. При этом сертификат должен обязательно включать:
•номер версии;
•серийный номер;
•идентификатор алгоритма подписи;
•имя издателя;
•срок действия;
•имя субъекта (пользователя);
•информацию об открытом ключе субъекта;
•уникальный идентификатор издателя;
•уникальный идентификатор субъекта;
•расширения;
•цифровую подпись поставщика, заверяющую действительность связи между открытым ключом субъекта и сведениями для его идентификации.